济宁广电远程用户拨号认证系统的问题及改进措

时间:2019-09-27

　　1 RADIUS 系统概述
　　
　　1. 1 系统原理
　　
　　RADIUS（ Remote Authentication Dial In User Serv-ice） 即远程用户拨号认证系统，由 RFC2865、RFC2866定义，是目前应用最广泛的 AAA 协议。RADIUS 是一种 C/S 结构的协议，它的客户端最初就是 NAS（ NetAccess Server） 服务器，任何运行 RADIUS 客户端软件的计算机都可以成为 RADIUS 的客户端。RADIUS 协议认证机制灵活，可以采用 PAP、CHAP 或者 Unix 登录认证等多种方式。它更是一种可扩展的协议，进行的全部工作都是基于 Attribute - Length - Value（ 属性长度值） 的向量进行的。
　　
　　由于 RADIUS 协议简单明确，可扩充（ RADIUS 也支持厂商扩充厂家专有属性） ,因此得到了广泛应用，包括普通电话上网、ADSL 上网、小区宽带上网、IP 电话、VPDN（ Virtual Private Dialup Networks,基于拨号用户的虚拟专用拨号网业务） 、移动电话预付费等业务。
　　
　　IEEE 提出了 802. 1x 标准，这是一种基于端口的标准，用于对无线网络的接入认证，在认证时也采用 RADI-US 协议。
　　
　　在济宁分公司的宽带上网业务中，也是使用 RA-DIUS 服务器来进行宽带上网的认证。
　　
　　1. 2 通过 WIRESHARK 软件对一次 PPPOE 拨号过程进行描述
　　
　　图 1 为整个的 PPPOE 连接过程，接下来分步描述整个过程。
　　
　　1. 2. 1 发现阶段 Discovery
　　
　　（ 1） PADI: 客户机以广播的形式发送 PADI 数据包，请求建立链路。主机发送 DESTINATION_ADDR为广播地址的 PADI 数据包，CODE 域设置为 0x09,SESSION_ID 域必须设置为 0x0000.如图 2 所示第497 条记录。
　　
　　（ 2） PADO: 访问集中器 AC 收到请求后会以单播的方式发送一个 PADO 数据包对客户机作出应答。如果访问集中器能够为收到的 PADI（ PPPOE Active Dis-covery Initiation,主动发现初始） 请求提供服务，它将通过发送一个 PADO（ PPPoE Active Discovery Offer,活动发现提供报文） 数据包来作出应答。DESTINATION_ADDR 为发送 PADI 的主机的单播地址，CODE 域为0x07,SESSION_ID 域必须设置为 0x0000.如图 3 第498 条记录。
　　
　　（ 3） PADR: 客户机收到 PADO 后，选择其中一个AC,然后客户机根据选中的 AC 的 MAC 地址向 AC 单播发送一个 PADR（ PPPoE Active Discovery Request,活动发现请求） 数据包，表示请求该 AC 作为服务器。由于 PADI 是广播的，主机可能收到不止一个 PADO,它将审查接收到的所有 PADO 并从中选择一个，可以根据其中的 AC - Name 或 PADO 所提供的服务来作出选择。然后主机向选中的访问集中器发送一个 PADR 数据包。其中 DESTINATION_ADDR 域设置为发送 PA-DO 的访问集中器的单播地址，CODE 域设置为 0x19,SESSION_ID 必须设置为 0x0000.如图 4 第 499 条记录。
　　
　　（ 4） PADS: AC 收到客户机发送的 PADR 数据包后，会创建一个唯一的会话 ID,并单播一个 PADS 数据包给客户机作为响应。当访问集中器收到一个 PADR数据包，它就准备开始一个 PPP 会话。它为 PPPoE 会话创建一个唯一的 SESSION_ID 并用一个 PADS（ PP-PoE Active Discovery Session - confirmation,活动发现会话） 数据包来给主机作出响应。DESTINATION_ADDR域为发送 PADR 数据包的主机的单播以太网地址，CODE 域设置为 0x65,SESSION_ID 必须设置为所创建好的 PPPoE 会话标识符。如图 5 第 500 条记录。
　　
　　1. 2. 2 会话阶段 PPP
　　
　　（ 1） 协商阶段： 客户机和 AC 要互相发送 LCP Re-quest 给对方，来确认发送的最大传输单元、是否认证和采用何种认证方式的协商，如图 6 第 504 条记录。
　　
　　（ 2） 认证阶段： 双方通过 LCP 确定好认证方式后，就立刻进行认证，认证完成后才可以进行之后的网络层的协商。该过程可以抓包到 PPPOE 拨号的用户名及加密后的密码。如图 7 第 509 条记录。
　　
　　（ 3） IPCP 协商阶段： 双方协商 IP 服务阶段的一些要求，以决定双方都能接收的约定。双方的协议是通过报文中的 Option 进行协商的，每一个 Option 都是一个需要协商的问题。整个过程一般协商多次，最后双方都需要答复 Configure_ACK 的同意报文。
　　
　　①认证成功后，AC 会将分配 IP 地址发送请求给客户机，再由客户机同意，同意报文分为客户机发起申请 Request 及确认、发起 ACK 报文，如图 8、图 9 第 512及 515 条记录。
　　
　　②AC 同意报文，该过程可能需要很多次协商，如图 10、图 11 第 519 ~523 条记录所示。
　　
　　当双方都发完 ACK 报文后，用户确认收到，获得IP 和 DNS Server IP,PPPOE 即拨号成功。
　　
　　2 济宁广电 RADIUS 系统的现状及存在的问题
　　
　　2. 1 现状
　　
　　济宁分公司的 RADIUS 系统运行了两年多，期间经过了若干次重要的系统升级，目前已经承载了 15 万余户的宽带用户认证工作。
　　
　　2. 1. 1 网络拓扑
　　
　　如图 12 所示，核心路由器与 RADIUS 系统之间通过交换机进行通讯，目前只有核心路由器 1 与 RADI-US 系统通讯，核心路由器直接连接强推服务器，为用户强推到期提醒，RADIUS App1 的第二块网卡接入EBOSS 系统交换机，完成 EBOSS 与 RADIUS 之间的数据交互。在 BRAS 上设置 NAS 服务器地址（ RADIUSApp 地址） ,实现用户的 AAA 认证。
　　
　　2. 1. 2 承载用户的情况系统上线之初承载用户数： 5 000目前每天增加的用户数： 150到 2016 年底计划承载的用户数： 25 万2. 2 存在的问题
　　
　　随着用户持续不断增长，该系统出现几次故障，有网络故障、数据库故障、RADIUS 与 EBOSS 数据交互故障等，网络故障主要体现在核心路由器与交换机之间网络不通，将原来的电口连接改为光口连接后故障排除。
　　
　　数据库异常故障，用户拨号大面积 691,原因是RADIUS 老版本不带旁路功能，RADIUS 与 EBOSS 数据交互故障主要表现是在 EBOSS 中新开的账户，没有成功被 RADIUS 系统接收，导致用户拨号错误代码606,原因是数据库异常，接口无法新增授权信息（ 到底用户侧出现的错误是 691 还是 606） .
　　
　　数据库单台服务器，如果数据库出现问题，会导致系统旁路，数据库服务器遇到硬件问题时，数据难以恢复。
　　
　　3 整改计划
　　
　　3. 1 RADIUS 版本改进
　　
　　原有的认证模式如图 13 所示：

　　用户拨号上网，BRAS 发送认证请求到 APP 前置机服务器，当前置机服务器接收到认证命令时，发送获取数据的信息到 DB 数据服务器，DB 数据服务器通过查询用户信息，将用户资料信息反馈给 APP 服务器，APP 服务器通过检测获取到的数据，对用户本次的认证请求作出相应的回执结果。
　　
　　该认证模式中，每次用户的认证请求都会发送到数据库服务器执行，数据库服务器的运行性能决定了整个认证性能，当上网用户激增时，往往会出现无法认证的问题.
　　
　　改进的认证模式如图 14 所示。
　　
　　用户拨号上网，BRAS 发送认证请求到 APP 前置机服务器，当前置机服务器接收到认证命令时，检测缓存服务器是否存活，当缓存服务处于存活状态时，前置机直接从缓存服务器中读取用户数据，由于用户数据从缓存中读取，大大减轻了数据库服务器的压力，同时提高了认证的性能。当缓存服务器不存活时，前置机自动地寻找数据库服务器，获取认证信息完成用户认证。
　　
　　BBN 后台管理系统、EBOSS 接口提供用户属性信息的修改，分发服务器检测数据库用户信息更改的情况，发现用户信息被更改，获取更改后的用户信息，立即分发到每个缓存服务器。
　　
　　缓存服务器与分发服务器实现心跳检测连接，当缓存服务器发现分发服务器不可用时，标记缓存服务器为不可用状态。
　　
　　3. 2 RADIUS 双机
　　
　　RADIUS 系统分别与 BRAS 设备实现了双机热备（ 如图 15 所示） .
　　
　　用户拨号信息发送到 BRAS 设备，BRAS 设备通过配置，通过主要认证路径，发送认证信息到 RADIUSApp 前置机一，当前置机一正确响应时，BRAS 收到RADIUS 认证反馈结果信息，执行上线认证操作，主要认证前置机一不响应时，BRAS 更换到备用认证路径，发送认证系统到 APP 前置机二进行认证。
　　
　　3. 3 数据库双机
　　
　　通过第三方软件实现 Oracle 数据库服务的双机，增加数据库服务的安全性[1]（ 如图 16 所示） .
　　
　　通过 atang 的双机业务软件，实现两个数据库服务器的镜像数据同步，两个数据库服务器同时映射出虚拟服务器，供程序使用。
　　
　　4 安全可靠的 RADIUS 系统的构建方案
　　
　　4. 1 网络拓扑（ 如图 17 所示）
　　
　　4. 2 功能描述
　　
　　引进用户到期提醒强推功能后，用户强推是以WEB 的形式体现，用户可以根据强推服务器的地址进而攻击 RADIUS 系统，网络的安全性受到威胁，计划在RADIUS 系统与用户、强推服务器之间新增一台防火墙，要满足以下 3 点要求： 一是强推服务器只与用户进行通讯，而且强推服务器使用虚拟机实现，方便用户攻击后通过镜像快速恢复强推功能； 二是核心路由器与RADIUS 互相通讯； 三是只有网管人员方可登录 RA-DIUS 系统。
　　
　　4. 3 关键技术点
　　
　　在 RADIUS 系统中，我们要特别关注硬件防火墙、核心路由器和 RADIUS 系统之间的协同配合关系，具体内容如下。
　　
　　4. 3. 1 硬件防火墙的配置
　　
　　防火墙在网络中有效阻止来自网络内部的攻击，同时有效定义可以访问 RADIUS 服务器的 IP 地址，从而在用户和 RADIUS 之间建立一个安全屏障[2].
　　
　　防火墙上的配置主要是在核心路由器和 RADIUS交换机创建互联地址，然后在交换机上配置默认路由，最后需要在防火墙上回指访问 RADIUS 服务器的路由即可。
　　
　　4. 3. 2 过期强推服务器的配置（ 通过虚拟机实现）
　　
　　强推服务，该界面是静态的，通过虚拟机实现。
　　
　　系统： Windows Server 2008r2,内存 1 G 以上。
　　
　　服务： tomcat7,jdk7.
　　
　　物理存储位于 RAID5 硬盘集群中，为虚拟机分配40 GB 硬盘。
　　
　　物理处理器为 E5 -2650v3,取其中一个内核虚拟成一颗单核虚拟 CPU.
　　
　　虚拟机内存分配 2 GB,保证 1 GB,动态分配1 GB.
　　
　　虚拟网卡依照常规设置，接入本网络。
　　
　　Tomcat7 与 jdk7 使用官方安装包，并打上最新的补丁。
　　
　　4. 3. 3 T8000 路由器及 BRAS 的配置
　　
　　在 T8000 上设置和防火墙的互联地址，然后在防火墙和路由器上互指静态路由即可，在 T8000 上的BGP 路由已经重分发静态和直连路由，这样就保证BRAS 可以和 RADIUS 正常通信。
　　
　　interface gei - 0 /15 /0 /5description DP - RADIUSip address 172. 28. 0. 49 255. 255. 255. 252interface gei - 0 /3 /0 /17description DP - RADIUSip address 172. 28. 0. 53 255. 255. 255. 252ip route 10. 253. 141. 0 255. 255. 255. 224 gei - 0 /15 /0 /5 172. 28. 0. 50ip route 10. 253. 141. 0 255. 255. 255. 224 gei - 0 /3 /0 /17 172. 28. 0. 544. 3. 4 RADIUS 系统的配置
　　
　　RADIUS 服务器 1: 10. 253. 141. 7、10. 66. 6. 178.
　　
　　RADIUS 服务器 2: 10. 253. 141. 8.
　　
　　数据库服务器： 10. 253. 141. 4、10. 253. 141. 5,生成虚拟 IP 地址： 10. 253. 141. 6.
　　
　　RADIUS 主要服务是 10. 253. 141. 7,如果系统出现问题时，BRAS 可以通过 SERVER2 的方式跳转到10. 253. 141. 8 进行认证。
　　
　　两台 RADIUS 服务的版本是一致的。
　　
　　10. 66. 6. 178 是 EBOSS 接口服务地址，接受 EB-OSS 授权服务。
　　
　　5 结论
　　
　　RADIUS 系统是我公司宽带业务系统的重要组成部分，这套系统是否可以安全、可靠、稳定运行，直接决定了宽带业务是否可以顺利开展。我公司开展大规模的双向网络之初，就建立了 RADISU 系统，随着宽带业务的不断发展，RADIUS 系统也逐渐暴露出一些问题，在一定程度上影响了宽带业务的发展。针过这个问题，我们通过增加硬件防火墙、实施双机热备、将强推服务器设置在虚拟机系统上等一序列措施，进一步提高了 RADIUS 系统的安全性和可靠性，使之与快速发展的宽带接入业务相适应。实践证明，这些措施是有效的。
　　
　　参考文献：
　　
　　[1] 袁津生，齐建东，曹 佳。 计算机网络安全基础[M]. 北京： 人民邮电出版社，2008:125 -129.
　　
　　[2] 刘晓辉 肖铁岭。 网管天下 - 交换机·路由器·防火墙[M]. 北京： 电子工业出版社，2012: 416- 422.

TAG标签： 济宁  广电  远程  

上一篇：网络WebCache系统建设方案探究
下一篇：B/S架构下的校园OA系统开发研究